net
oud
EDICIÓN N°02
NOTA DE TAPA
06
SUMARIO FRAMEWORK AND STANDARD
12
De COBIT® 5 a COBIT® 2019
INFORME ESPECIAL
14
CSA Latam Forum 2019
SECURITY ARCHITECTURE
18
Qué hacer frente a los escaneos “no autorizados”
SECURITY OPERATION
20 22
12 maneras de mejorar la seguridad de TI en la nube (y lo que puede hacer al respecto). Las aplicaciones de Blockchain en ciberseguridad.
THREAT INTELLIGENCE
24
Que comience la batalla
CONTENIDO PATROCINADO
26 28 32
Redefinir el perímetro con Netskope Security Cloud El orden es la mitad de tu tiempo Netskope resuelve el acceso seguro Zero Trust para Entornos Híbridos de TI
HABLAN LOS EXPERTOS
38 40 42 44 46
La ciberseguridad en tiempos de COVID-19 VU - Biometría Transformación Digital: más allá de la biometría La seguridad no es sólo tecnología Las VPN bajo la lupa ¿Solución al trabajo remoto? ¿o no? “Human First” y zero trust, las claves de F5
ACTUALIDAD
48 50
WatchGuard Technologies adquirirá Panda Security Zoom pide perdón a sus usuarios
EDITORIAL
Entre la pandemia y la seguridad Entre fines de 2019 y principios de 2020 se dieron dos circunstancias particulares: una previsible, como el cambio de gobierno en la Argentina, y otra totalmente inesperada, como la declaración de una pandemia viral. El cambio de política económica y la aparición de la amenaza viral al poco tiempo de la asunción del nuevo Gobierno —que implicó, por un lado, una gran incertidumbre en los costos de producción y, por el otro, un cambio radical en la forma de trabajar—, derivaron en la necesidad de realizar fuertes modificaciones en muchos proyectos, como el de esta revista. Todo esto lo traemos a colación porque este segundo número de Cybersecurity se esperaba antes y no pudo ser. Y sus contenidos, salvo en algunos casos, no toman en cuenta los cambios surgidos a partir de la declaración de la pandemia. Dicho esto, pasemos a los contenidos de esta edición. La nota de tapa se refiere al hecho de que nos enfocamos tanto en software que, en ocasiones, nos olvidamos del hardware. En ese sentido, repasamos algunas ponencias que se presentaron en Ekoparty 2019.
También presentamos un somero resumen de las exposiciones del CSA Latam Forum 2019 en un informe especial. Entre los temas que tocamos en este número podemos destacar la aparición de COBIT 2019, algunas aplicaciones de Blockchain en ciberseguridad, la relación entre esta tecnología y Big Data, y la segunda parte de la “competencia” entre CCSK y CCSP. La voz de este número es la de Hugo Riveros, Gerente de Ingeniería de Aruba Networks, que nos ofrece la visión de la ciberseguridad según la subsidiaria de Hewlett Packard Enterprise. Además, inauguramos una nueva sección llamada “Hablan los expertos”, en la cual ejecutivos y especialistas de distintas empresas comentarán distintas vicisitudes de la ciberseguridad. A pesar de la cuarentena, seguimos trabajando (en forma virtual y remota, por supuesto). Con lo cual, desde ya, les adelantamos que habrá un tercer número de Cybersecurity, un cuarto… y más. Hasta la próxima edición.
Matías Perazzo Director Editorial mperazzo@mediaware.org
Ricardo Goldberger Contenidos rgoldberger@mediaware.org
Leonardo Devia Cybersecurity Consultant - CSA
Suscripciones: info@itwarelatam.com Para publicar en este medio: ventas@mediaware.org www.itwarelatam.com Consultar por suscripción anual La empresa editora no se responsabiliza por las opiniones o conceptos vertidos en los artículos, entrevistas y avisos. Prohibida su reproducción parcial o total sin la expresa autorización del editor Puede leer y descargar la versión digital de esta revista en www.itwarelatam.com.com Edita, diseña, comercializa y distribuye Mediaware Marketing
Buenos Aires - Av. Jujuy 2073, 2ºB, Distrito Tecnológico, Buenos Aires, Argentina Tel.: +5411-4308-6642
7
Ricardo Goldberger y Rubén Borlenghi Aunque los CIOs, CISOs y demás responsables de TI no descuidan los “fierros”, lo cierto es que es el software el que acapara más prensa y más espacio en los medios, tanto los generales como los especializados. Sin embargo —y aunque no es algo muy nuevo—, en estos últimos años, el hardware y, especialmente, el firmware, han ido cobrando cada vez más protagonismo como objetivo o blanco de los ataques de los ciberdelincuentes. A fines de 2019, un comunicado de Black Hat Europe (https://bit.ly/3dLlw6P), establecía lo siguiente: “Se prevé que los ataques a hardware, dispositivos basados en ARM y sistemas ciberfísicos constituyan un área de especial interés en 2020”. Los ataques basados en hardware —continúa el comunicado— se con-
sideraban anteriormente algo muy aislado, pero según Daniel Cuthbert, responsable mundial de investigación en seguridad del Banco Santander, este tipo de ofensiva será algo habitual en 2020. “Con el aumento de la comunidad de fabricantes y la posibilidad de acceso a hardware y diseños baratos, los métodos de ataque basados en hardware para conseguir acceder o afectar negativamente han mejorado”, afirma Cuthbert. “En principio los consumidores confían en que sus dispositivos físicos no incluyan componentes malintencionados, pero esta confianza podría llegar a estar en peligro en el futuro”. Vamos a entrar un poco más en detalle y, para eso, vamos a hacer una revisión de lo que se presentó el año pasado en Ekoparty, que se llevó a cabo entre el 25 y el 27 de septiembre de 2019.
Con el aumento de la comunidad de fabricantes y la posibilidad de acceso a hardware y diseños baratos, los métodos de ataque basados en hardware para conseguir acceder o afectar negativamente han mejorado.
Developers vs. sysadmins Alex Matrosov es actualmente Jefe de Investigación Ofensiva (hardware/ firmware) en NVIDIA. Antes trabajó en Intel, en ESET, fue hasta 2012 profesor en la Universidad Nacional de Investigación Nuclear Instituto de Ingeniería y Física de Moscú (luego de recibirse allí con un Master en Seguridad de la Información). Los años de aula se le reconocen en la claridad de la explicación, y aun antes de su paper sobre Stuxnet en 2010 (coautor, para ESET, https://bit.ly/2w75Utp) era ya un analista de malware muy reconocido. En su regreso a la Eko (estuvo en 2011 y 2014) apareció con The Advanced Threats Evolution: REsearchers ARM Race. Entre las “amenazas avanzadas” le interesan (parece) las modernas técnicas de persistencia, las que contienen amenazas muy difíciles de encontrar, y peor, de eliminar: rootkits, bootkits, implantes en la BIOS. Todo eso confluye hacia el blanco final: hardware. Matrosov anunció que la Edad de Oro de los implantes de firmware/hardware había llegado y que los incidentes con firmware están aumentando, y alegró a la audiencia indicando que hay mitigaciones y prevenciones para los ataques al kernel de SO o al código de arranque, pero que, aunque existen mitigaciones limitadas (como el BIOS/BootGuard), no existe forma de prevenir los ataques al firmware SMM de BIOS/UEFI. Agregó, además, que hay un punto ciego con el tema
Alex Matrosov Jefe de Investigación Ofensiva (hardware/firmware) en NVIDIA
de ataques a la BIOS: que se puede atacar la cadena de proveedores. Un alivio es que Windows 10 verifica el estado de la BIOS pero... hubo una slide titulada “Gigabyte/ASUS/MSI/ASROCK/ Samsung no se preocupan por la seguridad!”. Poco después encaró las limitaciones del firmware UEFI, y el problema de que en ciertas actualizaciones mayores de Windows 10 una etapa indica claramente “Running action: Disable Bootguard”. Dos observaciones más: que el firmware durante mucho tiempo no se ha considerado un componente crítico de seguridad, y que el firmware y el hardware también se controlan desde la Nube, dado que en la mayoría de los casos los proveedores de servicios en la Nube no controlan el firmware o el hardware. A lo que se refería es a las fallas o vulnerabilidades del esquema de máquinas virtuales e hipervisores que componen un servicio de nube. Cuidar el promedio Matrosov pasó a una clasificación de vulnerabilidades UEFI, comentó que el tiempo promedio de publicación de una
9
Crédito: Tecnozona
NOTA DE TAPA
vulnerabilidad en firmware es de 6-9 meses (!!). Y llevó un poco de agua a su molino personal al afirmar que “por eso es importante tener un equipo interno de investigación ofensiva, para descubrir la realidad real (¡sic!) y no la que es creada por los diseñadores de mitigaciones”. En cuanto a los proveedores de
La cadena de proveedores de hardware y firmware está teniendo problemas crecientes, dado que integran una superficie de ataque muy grande.
servicios cloud, opinó que los grandes, como Amazon, Google o Microsoft “no lo hacen tan mal”, pero que la cadena de proveedores de hardware y firmware está teniendo problemas crecientes,
NOTA DE TAPA
dado que integran una superficie de ataque muy grande. Alex detalló problemas de firmware como la dificultad (o imposibilidad) de inspección en fábrica, más la posibilidad de la colocación de implantes no autorizados o cambios subrepticios por un tercer proveedor en la línea, dado que existen fábricas terminales que no tienen un control completo sobre su cadena de proveedores (¡caramba!) además del problema de un ataque a los servidores de actualización de los equipos vendidos, como le pasó a ASUS en su Live Update. Matrosov hizo una segunda presentación al día siguiente, llamada Modern Secure Boot Attacks: Bypassing Hardware Root of Trust from Software. Esta vez mostró las debilidades de dos métodos elegidos por los fabricantes de computadoras para evitar la explotación de vulnerabilidades: grabar programas en hardware, como ROM, o en firmware, en la BIOS. En ambos casos hay problemas. Luego detalló la clasificación de vulnerabilidades de la UEFI, el problema de las actualizaciones que dicen deshabilitar opciones, pero no lo hacen, y terminó con un excelente resumen:
Trust) basada en hardware transfiere el estado de la cadena de confianza al software, esa raíz “confiable” deja de ser hardware. GPS que no indican el camino El último día de Ekoparty 2019 arrancó con Trashing like it’s 1999 - Unsolicited forensics on GPS trackers, a cargo de Matías Soler. Lo de trash se justifica porque a Matías se le ocurrió trabajar con la información contenida en material abandonado, descartado, que (evidentemente) no parecía contener nada importante. Al menos, eso creía quien los desechó. Se trataba, en este caso, de los equipos de geolocalización que se usan en los camiones, para informar el movimiento de la unidad y su carga. Matías dio con ellos en un revendedor de objetos usados y de descarte de la Provincia de Buenos Aires. Unos sesenta que alguna empresa transportista probablemente había tirado a la basura, de los cuales compró dos, para una Crédito: Tecnozona
Ni los autos se salvan
a. La usabilidad, en el mundo corpo-
rativo, es el principal enemigo de la seguridad; b. Diferentes fabricantes entienden la opción “deshabilitar permanentemente” de manera diferente y b. Cuando la raíz de confianza (Root of
prueba inicial. Se trataba de un modelo en caja cerrada, que contiene el módulo de posicionamiento, la sección de telecomunicaciones y una memoria. Luego de una prueba satisfactoria, Matías regresó al depósito, compró los que quedaban, y aunque en algunos casos había un borrado superficial, se pudo recuperar recorridos, tipo de carga, ubicación de los depósitos de la empresa base y de los clientes. Y cuando había contraseñas, no fueron difíciles de descifrar. Sobre todo para quien, como Soler, trabaja en el equipo STORM de Intel, luego de un paso de nueve años por Immunity.
La exposición de Andrés Blanco y Lautaro Fain
10
Una presencia ya tradicional de Ekoparty es una investigadora que conserva un aspecto de niña al que no hay que prestarle atención, porque en su background hay muchísima profesionalidad y rigor. Hablamos de Sheila A. Berta, la excelente programadora que diseñó (por ejemplo) el software que, cargado en la barriga de un pequeño dron, puede inspeccionar un edificio
NOTA DE TAPA
comercial de varios pisos y levantar información de las redes wifi de cada empresa alojada allí, tal como mostró en el tercer día de la Eko de 2015. Esta vez, con el rimbombante título de Backdooring Hardware Devices by Injecting Malicious Payloads on Microcontrollers se dedicó a estudiar (exitosamente) cómo usar un microcontrolador para alterar el comportamiento de una de sus víctimas favoritas: el CAN bus de un automóvil. Luego de hacer un repaso de diferencias estructurales y operativas entre microprocesador y microcontrolador, mostró cómo se programa un microcontrolador (procedimientos, herramientas de software, kits), y la forma de modificar un programa sin que se altere el checksum, por lo cual debería correr de maravilla aun con datos cambiados. Las pruebas las hizo sobre el PICkit3. Con mucho detalle técnico y una explicación impecable como siempre, mostró como hacer para que estos PICs carguen
Sheila Berta inyectando un payload
Los sistemas ciberfísicos, sobre todo en el sector industrial y de la automoción, pero también en el de los dispositivos médicos, han sido diseñados teniendo en mente un entorno y un modelo de amenazas diferentes.
código malicioso. Finalmente, ya que de autos se trata, explicó cómo se puede actuar sobre un modelo donde haya un motor que funcione con nafta y con gas. Donde, claro, si está funcionando con nafta, no se permite el paso de gas. Pero... también (mostró Sheila) se podría hacer que le de paso al gas y a la nafta. Al mismo tiempo. Con las ruidosas consecuencias del caso. Cuidado con los routers hogareños
Crédito: Ekoparty
Andrés Blanco y Lautaro Fain, VP of Consulting Services el primero y Penetration Tester & Exploit Writer el segundo, ambos de Immunity Inc., trajeron una Receta práctica y eco-
12
nómica de un implante de hardware. Según explicaron, la idea inicial era implantar un microcontrolador dentro de un dispositivo, para modificar la operación del equipo. Como elemento de intrusión decidieron usar un ARM del tipo STM32F030F4. Luego de las primeras pruebas, armaron una placa apropiada para conectarla dentro de un router hogareño con wifi, usando un demo board comercial. En una siguiente etapa de la experiencia, constataron que podían aprovechar la función de actualización prevista en el firmware original del router y controlar el equipo. Luego decidieron prescindir de la placa comercial y probaron (exitosamente) soldar el microcontrolador en la placa del router y cubrirlo con una gota grande de resina, lo cual hacía muy difícil descubrir el implante de hardware. Volviendo al comunicado de Black Hat Europe, Stefano Zanero, profesor asociado del Politecnico di Milano, comentó: “Los expertos en seguridad de la información han sido concientes durante mucho tiempo de que los sistemas ciberfísicos, sobre todo en el sector industrial y de la automoción, pero también en el de los dispositivos médicos, han sido diseñados teniendo en mente un entorno y un modelo de amenazas diferentes. Ahora ya casi no nos queda tiempo para volver a diseñar esos sistemas para que puedan resistir a los ataques modernos”. Es tiempo que los fabricantes de hardware y los responsables de TI lo tomen en cuenta.
FRAMEWORK AND STANDARD
COBIT ACOMPAÑA LAS TENDENCIAS Y SE ACTUALIZA
De COBIT® 5 a COBIT® 2019 Cuando las organizaciones no logran optimizar las capacidades de sus prácticas de TI, pueden dejar un negocio estático y hacerlo altamente vulnerable y terminar de volverse obsoleto. Existe una necesidad urgente de desarrollar y administrar controles internos y niveles esenciales de seguridad para hacer frente a las tendencias. Y así es como COBIT 5 entra en juego. Una breve síntesis de COBIT 5 COBIT 5 (Control Objectives for Information and Related Technology) es un marco de trabajo desarrollado por ISACA, que ayuda a las empresas a crear, organizar e implementar estrategias para la gestión de la información y la gobernanza. COBIT 5 simplifica un conjunto de procedimientos de gestión, y explica cuidadosamente los objetivos del proceso, las actividades clave, el modelo de madurez elemental y las medidas de desempeño. Además, ofrece muchas de las mejores prácticas recomendadas para la gestión organizativa y el procedimiento de control de marcos de datos y tecnología, con el objetivo de ajustar el negocio a la TI. Y ahora, COBIT 2019 COBIT 2019 es la actualización e incluye otros marcos de gestión de TI como ITIL, CMMI y TOGAF. Resulta, entonces, una opción remarca-
ble para unificar procesos en toda la organización. Al igual que COBIT 5, COBIT 2019 también se enfoca específicamente en la seguridad, la gestión de riesgos y el gobierno de la información. El marco de COBIT 2019 incluye 40 objetivos de gobierno y gestión, a la vez que personaliza un procedimiento de gobierno de TI. COBIT alinea los objetivos comerciales y los objetivos de TI al establecer vínculos entre los dos y crear un proceso que puede ayudar a cerrar la brecha entre los silos específicos dentro de TI. De acuerdo con ISACA, COBIT 2019 se actualizó para incluir: Foco en áreas y factores de diseño que dan más claridad en la creación de un sistema de gobierno para las necesidades del negocio. Mejor alineación con estándares mundiales y mejores prácticas para respaldar la relevancia del marco.
14
Actualizaciones periódicas lanzadas de forma continua. Más herramientas para apoyar a las empresas en el desarrollo de un “sistema de gobierno más adecuado, haciendo que COBIT sea más prescriptivo”. Un modelo de código abierto que permite la retroalimentación de la comunidad de governanza mundial. Apoyo adicional para la toma de decisiones, incluyendo nuevas funciones de colaboración en línea. Una mejor herramienta para medir el rendimiento de TI y la alineación con CMMI. Además, COBIT 2019 incluye conceptos de “áreas de enfoque” que definen temas y asuntos específicos de gobernabilidad. Algunos ejemplos de estas áreas: pequeñas y medianas empresas, ciberseguridad, transformación digital y nube. Las áreas de enfoque se inclu-
COBIT 2019 integra conceptos de “área de enfoque” que definen temas y problemas de gobernanza específicos, Crédito: CreditDebitPro - CC BY 2.0
que pueden abordarse mediante los objetivos de gestión o de gobernanza.
yen o cambian según sea necesario. No hay restricciones para el número de áreas de enfoque que pueden ser incorporadas en COBIT 2019. Certificación COBIT 2019 El curso de certificación COBIT 5 no caduca; ISACA continuará apoyando la acreditación y la entrega de capacitación y certificaciones de COBIT 5, junto con COBIT 2019. Las certificaciones para COBIT 2019 incluyen: COBIT Workshop: un curso de un día que cubre los conceptos, modelos y definiciones clave de COBIT 2019 con un gran énfasis en las diferencias entre COBIT 5 y 2019.
Examen COBIT 2019 Foundation: prepara a los asistentes para el examen certificado COBIT 2019 Foundation, que abarca el “contexto, los componentes, los beneficios y las razones clave por las que COBIT se utiliza como marco de gobierno de la información y la tecnología”. Es un curso de dos días con un proveedor de capacitación acreditado. Examen de diseño e implementación COBIT 2019: esta certificación se lanzó en abril de 2019 y abarca el diseño de un sistema de gobierno que se adapte mejor a sus necesidades. Finalmente, digamos que se introdujeron once factores de diseño en COBIT 2019. Éstos influyen en el tipo de sistema de
15
gobierno que su organización necesita y eleva las capacidades requeridas. Los Factores de diseño COBIT 2019 son: Estrategia empresarial Metas empresariales Perfil de riesgo Problemas relacionados con I&T Panorama de amenazas Requisitos de compliance Rol de TI Modelo de abastecimiento para TI Métodos de implementación Estrategia de adopción de Tecnología. Tamaño de las empresas Los nuevos factores de diseño en COBIT 2019 también pueden influir en la importancia de uno o más componentes o requerir variantes específicas.
Crédito: Tecnozona
FRAMEWORK AND STANDARD
CSA Latam Forum 2019 Ricardo Goldberger Uno de los principales eventos que organizó, el año pasado, el capítulo argentino de la Cloud Security Alliance es el CSA Latam Forum 2019. Participaron cerca de 200 asistentes, en su mayor parte CIOS, CISOs y responsables de sistemas o tecnología de las principales empresas y organismos del estado. Contribuyeron 37 organizaciones entre anunciantes y auspiciantes, del sector público y del privado, todos involucrados en ciberdefensa y seguridad informática. El pasado 7 de noviembre de 2019 se llevó a cabo el CSA Latam Forum 2019. Luciano Moreira y Leonardo Rosso, los coordinadores del capítulo argentinos de la Cloud Security Alliance dieron la bienvenida. El primer Keynote speaker fue Sean Cordero, Head of Cloud Strategy de Netskope “El cambio con respecto al
año pasado es que los atacantes han ganado experiencia en saber cómo ganarnos. Van a hacer lo mismo que saben de siempre, pero con mayor impacto” comenzó diciendo Cordero, en una charla llamada “Redefiniendo la seguridad de la nube para los riesgos de hoy”. Algunos números que dio Cordero: 90% de los datos fueron creados en los últimos dos años. 90% de los dispositivos empresariales son móviles. 93% del tráfico web y servicios cloud corren sobre TLS/SSL. 2% de los servicios cloud están bajo IT y o controles de seguridad. “Antes creía que con el diseño de los controles de red era suficiente. Eso ya no existe. Poner la arquitectura de la red como era antes en la nube, tampoco sirve. No hay una sola nube, más de 1200 servicios cloud se usan en promedio en una corporación. Si todo existe en la nube y se logra el
16
acceso, el impacto es muy importante” remarcó el ejecutivo.
El cambio con respecto al año pasado es que los atacantes han ganado experiencia en saber cómo ganarnos. Van a hacer lo mismo que saben de siempre, pero con mayor impacto. Sean Cordero
INFORME ESPECIAL
Los tracks En uno de ellos, Carlos Agrelo, Sales Engineer Argentina y Chile en Sophos, basó su presentación en un caso concreto, en “Resolviendo los principales desafíos de la nube pública”. De paso, señaló la diferencia entre la seguridad en la nube de la seguridad de la nube. “Securing public cloud infrastructure” fue el título de la presentación de Alejandro Botter y Lucas Sebastián García, Security Engineers en Check Point Software Technologies. Leonardo Devia, Especialista en Ciberseguridad & Maximiliano Braga, Responsable de Operaciones en PWC Argentina hablaron del Purple Team y cómo la aproximación seudomilitar puede ser efectiva en seguridad (ver nota aparte) Marcelo Temperini, Abogado especialista en Cibercrimen y Derecho Informático, expuso sobre “Evidencia digital y Cloud computing: 6 consejos para probar una fuga de información en juicio”. Nunca viene mal una mirada desde la ley. Konstantyn Nayda y Joaquín Crespo, de Base4, en “Historias de inseguridad en la nube” se dedicaron a describir cómo la migración de Kubernetes a la cloud ofrece nuevos desafíos. Hablaron de los buckets: objetos que permiten almacenar archivos. Dieron ejemplos de buckets mal configurados que expusieron datos de bancos
Marcelo Temperini, Abogado especialista en Cibercrimen y Derecho Informático
Carlos Agrelo, Sales Engineer Argentina y Chile en Sophos
y del Pentágono. También de fallas en los sistemas IAM (Identity and Access Management) de Time Warner y Uber. Concluyeron que “el eslabón más débil de la cadena es el DevOps, especialmente en las fases de code y deploy”.
El eslabón más débil de la cadena es el DevOps, especialmente en las fases de code y deploy. Konstantyn Nayda y Joaquín Crespo
Sabrina Irisarri, en una presentación llamada “Virtual network isolation in multi-tenant cloud” hizo una demo de creación de namespaces. Andrés Riancho presentó “Internet-Scale analysis of AWS Cognito Security”. Basado de un caso real, Riancho analizó Cognito, que es un “servicio que se puede utilizar para crear identidades únicas para los usuarios, autenticarlas con proveedores de autenticación y guardar datos de usuario de aplicaciones móviles en la nube.” La presentación detalló errores de configuración y de concepto que, además de ser informados a su cliente, fueron comunicados a AWS. Se armó el panel
Con el título de “Asegurando a IaaS, PaaS, Contenedores, Serverless y al Pipeline CI/CD”, Rodrigo de Santi, Cloud Security Sales Manager, Latam en Palo Alto Networks explicó porqué, entre otras cosas, el core business ya no está en el datacenter.
17
El título del primer panel de la jornada era “Ghostbusters: Los fantasmas de la privacidad en una frontera que no se ve” y la descripción decía: Panel sobre la Transparencia, Privacidad y Datos personales en Cloud “GDPR vs Leyes locales”. Estaba integrado por Pedro Janices (Ciberseguridad del Ministerio de Seguridad), Pablo Silberfich (Socio de BDO Argentina),
INFORME ESPECIAL
Axel Abad (Senior Information Security Architect), Juan Pablo Altmark (Presidente de la Asociación Latinoamericana de Privacidad) y Manuel de Campos (Juez Nacional en lo Criminal y Correccional); la moderación corrió por cuenta de Julio Balderrama. Hablaron de la dificultad de cubrir con un seguro las violaciones a la privacidad e incluso las sanciones y aseguraron que la Argentina está bien ubicada con respecto a la GDPR. Silberfich mencionó todas las normas vigentes de protección de datos y de gobierno de TI. “Somos un país bastante maduro y no tenemos que inventar nada, sólo adaptar”. Janices, por su parte, afirmó que “el problema de la Capa 8 somos nosotros. Si desde el Estado no aplicamos los requisitos de seguridad, no se lo podemos pedir a los privados”. Abad sostuvo que, en el caso de los privados, se habla de buenas prácticas
La GDPR no es una bala de plata, Budapest tampoco. Que estas normas estén no quiere decir que el lobo no siga estando. Juan Pablo Altmark
Christian Ibiri y Luciano Moreira, ambos de parte de The Cloud Legion
y recomendaciones mientras no estén en una ley o regulación. De Campos, a su turno, manifestó que “es muy difícil que las empresas informen y hay que analizar de quién hay que proteger los datos. De repente los atacantes tienen un mayor acceso a los datos que desde la ley”. Para Altmark, según la GDPR, las apps tienen que pedir autorización de cada uno de los recursos que ésta utilice. “La GDPR no es una bala de plata, Budapest tampoco. Que estas normas estén no quiere decir que el lobo no siga estando”. Después del almuerzo, vino el otro panel, titulado “100% lucha en la Nube. Panel sobre técnicas de ataque y defensa en entornos cloud” y estructurado como un enfrentamiento entre malos (atacantes) y buenos (defensores). De un lado estaban Julio Balderrama, cybersecurity mentor y miembro de CSA Argentina; Emiliano
18
Monje, analista de Fuerza Aérea; Eric Balderrama, cibersecurity incident responder y Andres Riancho, especialista en seguridad ofensiva. Se defendían Ruben Aybar y Federico Pacheco, especialistas en seguridad de la información y Leonardo Rosso, presidente del Capítulo Argentino de Cloud Security Alliance. El panel fue moderado por Luciano Moreira, vicepresidente de CSA Argentina. Se armó una estrategia de cuatro “modelados” donde se presentaron diferentes configuraciones de servicios o componentes a atacar: servidores de caché, aplicaciones web, infraestructuras híbridas (con su correspondiente bastión), una implementación serverless. El resto de los tracks Christian Ibiri y Luciano Moreira, ambos de parte de The Cloud Legion, en
INFORME ESPECIAL
este caso, presentaron “I am DevSecOps - The infinity loop Saga”. Hicieron hincapié en que DevSecOps no es sólo tooling sino especialmente un cambio cultural. Dado que la Transformación digital lleva al aumento de las superficies de ataque, hay que tener cuidado de no automatizar lo que se está haciendo mal. “El demonio que hay que enfrentar es el TimeToMarket” dijeron en otro tramo y mostraron una “Herramienta poderosa: el tablero Kanban”. En una presentación con el llamativo título “Tu teléfono te inventa historias (tratamiento de prueba inexistente en dispositivos móviles)”, Marcelo Romero, especialista en análisis forense de dispositivos móviles, demostró en detalle cómo es posible alterar el contenido de un conjunto de mensajes de WhatsApp. Si en lugar de ser una demostración para una conferencia, esto hubiera sido
Por definición, la nube no es segura. Daniel Sentinelli Anatoli Lushev
un hecho real, estaríamos frente al intento exitoso de armar una prueba falsa que podría presentarse en un juicio. La última actividad en track fue “OpenBSD una workstation segura”, a cargo de Anatoli Lushev, ferviente difusor de las cualidades de OpenBSD como un sistema operativo diseñado con la seguridad como imperativo categórico. Luego de comparar la guerra convencional con la ciberguerra, se preguntó si la Argentina está preparada para ésta última. Volvimos al salón
Marcelo Romero, especialista en análisis forense de dispositivos móviles
Las dos actividades finales del día fueron “CloudINT: aplicando inteligencia a la nube”, y “Shift to Serverless or Securityless, Panel sobre Cloud Native”. La primera estuvo a cargo de Emiliano Piscitelli, director del Grupo de Investigación en Ingeniería Social de la UNLP y Carlos Loyo, ingeniero en sistemas y profesor universitario de seguridad informática. Comenzaron por definir OSINT como la obtención de información desde fuentes
19
públicamente accesibles, señalaron la diferencia entre fuente pública y fuente publicada (esta última es el resultado de alguna acción ilegal) y enumeraron el uso posible de la información obtenida (judicial, monitoreo, investigación comercial, marketing). La última actividad fue protagonizada por los integrantes de Dominio Digital Daniel Sentinelli (a.k.a. El Chacal), Alejandro Ponicke, Joel Chornik y Claudio Regis. Más allá de mostrar declaraciones de Richard Stallman acerca de cómo la nube no es otra cosa que la computadora de otro sobre la cual no tenemos control y la opinión de Ponicke: “más importante que entrar a la nube es cómo salir de ahí”, el Chacal fue terminante: “por definición, la nube no es segura” El evento terminó con un sorteo en el que se entregaron premios otorgados por distintos sponsors y por la propia CSA. Hasta el año que viene. Informes: Rubén Borlenghi
SECURITY ARCHITECTURE
PROTECCIONES QUE VALE LA PENA RECORDAR Crédito: pyst - CC BY-SA 2.0
Qué hacer frente a los escaneos “no autorizados” Los riesgos producidos por los escaneos de puertos, en toda clase de condiciones, son largamente conocidos. Los atacantes usan este tipo de análisis para hallar interesantes resultados a partir de distintas técnicas que, al combinarlas para obtener información de la víctima, pueden resultar en un serio problema. Vamos a ver cómo proteger nuestro propio sistema de estas mismas técnicas. Lo primero que debemos decir es que no es malo tener puertos abiertos: sin puertos abiertos, Internet no existiría, pues nadie podría conectarse con nadie.Pero hay que cumplir con ciertas normas básicas a la hora de ofrecer servicios, abrir y cerrar puertos. 1. Abrir solamente los puertos nece-
sarios: Los únicos puertos abiertos en nuestro sistema deben ser los necesarios para que funcionen correctamente los servicios que queremos ofrecer desde nuestra máquina. Si deseamos además evitar miradas indiscretas, mejor colocarlos a la escucha en puertos no estándar.
plo, para el DCC de IRC) conviene controlar el rango de puertos permitidos o asignarlos a mano (como en el caso de aplicaciones P2P). 3. Proteger los puertos que no
usemos: El resto de los puertos deberán estar cerrados, o mejor aún, silenciosos. 4. Proteger el acceso a los servicios
que deban ser restringidos: Si debemos ofrecer un servicio, pero no de forma pública, éste debe ser protegido mediante sistemas de autenticación adecuados. 5. Proteger las conexiones: Siempre
2. Controlar los puertos abiertos
dinámicamente: Cualquier aplicación que realiza conexiones debe abrir de forma dinámica puertos. Normalmente se utilizan puertos arbitrarios superiores al 1024, pero en ciertas circunstancias (por ejem-
Lo primero que debemos decir es que no es malo tener puertos abiertos: sin puertos abiertos, Internet no existiría, pues nadie podría conectarse con nadie.
que sea posible, usar conexiones cifradas: SSL es nuestro mejor aliado, no olvidar. 6. Usar un firewall: Imprescindible
su uso, bien se traten de máquinas independientes o dependientes del
20
propio host. Nadie tiene excusa para no usar uno, pues existen muchos firewalls de escritorio gratuitos.
SECURITY ARCHITECTURE
Existe una técnica llamada port knocking mediante la cual un sistema con todos los puertos cerrados tiene un demonio a la escucha de los logs del firewall.
Crédito: DellEMC
7. Usar un IDS: Un firewall protege
nuestra red según las reglas con las que esté diseñado. Un IDS detecta (y actúa en consecuencia) ataques según una serie de reglas programadas por nosotros. La combinación perfecta: firewall + IDS.
sistema, mejor para nosotros. Hay que desactivar los banners de información de cualquier servicio, ocultar las versiones... incluso se puede, mediante IPtables, falsificar la huella de la pila TCP/IP para engañar a Sistemas de Detección de fingerprint.
8. Usar esquemas de seguridad re-
dundantes: ¿Qué mejor que un firewall? ¡Dos! Si se dispone de un router que actúa como firewall, instalar otro en el sistema operativo de tu equipo: dos barreras suponen mayores complicaciones que una. 9. Ocultar información sensible:
Cuanta menos información tenga un potencial atacante de nuestro
la escucha de los logs del firewall. Cuando éste reconoce una secuencia determinada de intentos de conexión a determinados puertos y en un determinado orden, abre un puerto, establece un socket para abrir una conexión con el host remoto y vuelve a cerrarlo para que nadie más pueda conectarse al servicio.
10.Usar sistemas de seguridad avan-
zados: Aprovechar los últimos sistemas de seguridad. Imaginar que queremos ofrecer un servicio, pero no tener absolutamente ningún puerto abierto. ¿Improbable? No. Existe una técnica llamada port knocking mediante la cual un sistema con todos los puertos cerrados tiene un demonio a
21
Y, finalmente, aunque no esté numerado, es de regla: tener el software actualizado. De nada le sirve a un atacante saber la versión de nuestro Apache si no hay fallos conocidos. Por lo mismo es conveniente estar al tanto de los fallos que puedan ir apareciendo, para reaccionar un paso por delante del atacante.
Crédito: Josh Sorenson en Pexels
SECURITY OPERATION
LA SEGURIDAD DE LOS DATOS VIENE PRIMERO
Cuando Big Data y Cybersecurity chocan El auge de Big Data y la evolución de la ciberseguridad se entrelazan de manera inequívoca. Comprender cómo se relacionan, puede ayudar a las organizaciones a determinar qué capacidades deben desarrollar, o adquirir, para aprovechar al máximo los datos que tienen y, al mismo tiempo, mantenerlos seguros.
Si las empresas desean extraer el máximo jugo de sus datos, su uso no se puede restringir a Científicos de Datos o a Altos Ejecutivos. Debe ser democratizado y estar disponible en todos los niveles de la empresa.
Debido a que los datos disponibles hoy ya no residen en aplicaciones aisladas, el viejo enfoque de defender silos ya no funcionará. Las empresas tienen que pensar en términos de defender los datos en sí. Cuando los datos están disponibles a través de múltiples rutas, la creación de más barreras alrededor de silos de aplicaciones no los protegerá. Esta es la ese ncia de la Seguridad de Datos primero. Si bien el crecimiento de la superficie de ataque ha aumentado el riesgo de un ataque externo, la democratización de los datos los ha puesto en mayor riesgo dentro de la empresa, por la sencilla razón de que más personas tienen acceso a ellos. Los ataques internos son un problema grave. Aunque las estimaciones varían, muchos estudios coinciden en que más del 40 por ciento de todas las violaciones de datos son perpetradas por personas con información privilegiada.
22
Crecimiento y democratización de los Datos Los datos están creciendo, no sólo en términos de las conocidas tres “V” (volumen, variedad y velocidad), sino también según lo medido por un cuarto valor “V”: Hoy en día, los datos, incluso los no estructurados, se pueden agregar, convertirlos en formatos legibles por máquina, combinarlos con datos estructurados, y analizarlos, no sólo para informar las decisiones empresariales al proporcionar una perspectiva retrospectiva, sino también para impulsar acciones en tiempo real. Algunos ejemplos son la detección de fraudes en servicios financieros, el mantenimiento preventivo en la fábrica y la gestión de inventario de ventas predictivas. Si las empresas desean extraer el máximo jugo de sus datos, su uso no se puede restringir a Científicos de Datos o a Altos Ejecutivos. Debe ser democratizado y estar disponible
SECURITY OPERATION
Crédito: Freepik.com
en todos los niveles de la empresa. Además, esto debe suceder en el contexto de una cultura de bricolaje donde cada empleado que necesite datos pueda obtenerla en una forma que sea útil. Las dos tendencias Estas dos tendencias, el Crecimiento y la Democratización, están con-
siguiendo efectos de cambio en la ciberseguridad. El crecimiento en la cantidad y variedad de datos ha llevado a un incremento simultáneo en la infraestructura que genera y soporta esos datos. Esto, a su vez, significa una superficie de ataque mucho más grande, que involucra interacciones complejas y distribuidas entre personas y aplicaciones que pueden estar en las instalaciones, fuera de ellas,
23
en dispositivos móviles o en la nube. Los dispositivos inteligentes que pertenecen a la creciente Internet de las Cosas (IoT) expanden aún más esta superficie de ataque. Y la digitalización continua de Sistemas y Procesos expone las “superficies” de la organización al mundo externo, con lo que los riesgos de los que hablamos se exacerban.
SECURITY OPERATION
Crédito: cogdogblog - CC0 1.0
Las aplicaciones de Blockchain en ciberseguridad El alto nivel de dependencia de Internet y de la tecnología actual ha dado lugar a nuevas fuentes de ingresos y modelos de negocios para las organizaciones. Pero con esto surgen nuevas brechas y oportunidades que los delincuentes informáticos pueden explotar. Blockchain resuelve el problema de “falta de confianza” entre las contrapartes en un nivel muy básico. En lugar de una estructura centralizada donde toda la información se almacena en pocas bases de datos muy grandes, Blockchain es una base de datos distribuida, utilizada tanto en aplicaciones privadas como públicas. Los datos correspondientes a cada lote de transacciones válidas se almacenan dentro de su propio bloque; cada uno está conectado al que está situado en la posición anterior y crece continuamente a medida que se agregan nuevos bloques de información. Debido a su naturaleza distribuida, las cadenas de bloques no proporcionan una entrada “hackeable” o un punto central de falla y, por lo tanto, proporcionan más seguridad en comparación con varias estructuras transaccionales actuales basadas en bases de datos. Eliminar el factor humano de la autenticación
convencionales. No importa cuánto dinero invierta una organización en seguridad, todos estos esfuerzos serán en vano si los usuarios utilizan contraseñas que son fáciles de robar o descifrar. Blockchain ofrece una autenticación sólida y la resolución de un solo punto de ataque al mismo tiempo. Con su ayuda, un sistema de seguridad utilizado en una organización puede aprovechar una infraestructura de clave pública distribuida para autenticar dispositivos y usuarios. Este sistema de seguridad proporciona a cada dispositivo un certificado SSL específico en lugar de una contraseña. La gestión de los datos del certificado se lleva a cabo en la cadena de bloques y esto hace que sea prácticamente imposible para los atacantes utilizar certificados falsos. Almacenamiento descentralizado
La utilización de una arquitectura centralizada y los inicios de sesión únicos son la gran debilidad de los sistemas
Los usuarios de Blockchain pueden mantener sus datos en su compu-
24
Cada transacción que se agrega a una cadena de bloques pública o privada está marcada y firmada digitalmente y asociada criptográficamente a un usuario.
tadora en su red. Si alguien que no es el propietario de un componente de datos (como un atacante) intenta manipular un bloque, todo el sistema examina todos y cada uno de los bloques de datos para localizar el que
SECURITY OPERATION
difiere del resto. Si el sistema lo encuentra, simplemente lo excluye de la cadena, reconociéndolo como falso. Blockchain está diseñado de manera que la ubicación de almacenamiento o la autoridad central no existe. En la red, cada usuario tiene un papel que desempeñar en el almacenamiento de parte o la totalidad de la cadena de bloques. Todos los miembros de la red de Blockchain son responsables de verificar los datos que se comparten y/o mantienen para garantizar que no se puedan eliminar los datos existentes y que no se puedan agregar datos falsos. Trazabilidad Cada transacción que se agrega a una cadena de bloques pública o privada está marcada y firmada digitalmente y asociada criptográficamente a un usuario. Esto significa que las empresas pueden rastrear cada transacción en un período de tiempo particular y ubicar a la parte correspondiente en la cadena de bloques a través de su dirección pública. Esta característica se relaciona con el no repudio: la garantía de que alguien no puede verificar la autenticidad de su firma en un archivo o la autoría de una transacción que originó. La capacidad de auditoría de Blockchain ofrece a las empresas un nivel de seguridad y transparencia en cada iteración. Desde la perspectiva de la ciberseguridad, esto ofrece a
Crédito: Pexels.com
las entidades un nivel adicional de seguridad de que los datos no han sido manipulados y son auténticos. La tecnología Blockchain está aquí para quedarse y nos ayudará a proteger tanto compañías, como individuos y gobiernos. Su utilización innovadora ya se está convirtiendo en un componente de otros campos, más allá de las criptomonedas, y es
25
principalmente útil para mejorar la ciberseguridad. Aunque pocas de las capacidades subyacentes de Blockchain ofrecen disponibilidad de datos, integridad y confidencialidad, como otros sistemas, las compañías deben cumplir con los estándares y controles de ciberseguridad dentro de su infraestructura técnica con la ayuda de Blockchain para protegerlos de ataques externos.
THREAT INTELLIGENCE
EQUIPOS ROJO, AZUL Y PÚRPURA
Leonardo Devia y Marcelo Braga en el CSA Forum 2019
QUE COMIENCE LA BATALLA Leonardo Devia Filosofía de entrenamiento militar. Dos equipos, ataque y defensa. Seguridad ofensiva vs. defensiva. El rojo ataca y el azul defiende. Empezar a cruzar información, sinergia para ver cómo piensa el atacante y cómo el defensor. Y así se integra la información en el Purple Team: un Red Team que entrena un Blue Team. Seguridad colaborativa: el Purple Team entiende la problemática de cada empresa e instruye a ambos equipos.
El concepto proviene de ejercicios de simulación realizados en el ejército y refleja un escenario de ataque del mundo real. El equipo rojo es el atacante y representa a los hackers maliciosos u otros actores de la amenaza; el equipo azul es el defensor de la organización atacada; y, como en cualquier pelea, es una buena idea tener un “árbitro”, papel que recae en el equipo púrpura, que supervisa el proceso y asegura que se obtenga el máximo beneficio del ejercicio. Equipo rojo al ataque Está formado por hábiles hackers éticos, cuyo trabajo es explotar de forma segura las vulnerabilidades en los perímetros físicos y de ciberseguridad del objetivo. Su misión es montar un ataque muy realista contra la organización objetivo, con la cual
no tienen ningún tipo de vínculo ya que son contratados externamente. Este grupo de atacantes usará las últimas técnicas y herramientas de hacking para infiltrarse en las defensas del objetivo. Ellos pueden escribir su propio malware y crear vectores de ataque únicos, de la misma manera que los hackers maliciosos lo harían en un ataque genuino. Se busca ser sigiloso y hacer todo lo posible para evitar ser descubierto. El equipo rojo buscará el eslabón más débil para romper sus defensas perimetrales. Es libre de usar cualquier técnica que considere adecuada para cumplir su misión. Una vez que se obtiene acceso a las instalaciones, es cuestión de insertar discretamente una unidad USB en una PC y su trabajo está hecho. El equipo rojo intentará comprometer la seguridad del objetivo rompiendo sus
26
barreras físicas, extrayendo información e infiltrándose en los sistemas, mientras evitan ser detectados por el equipo azul. Puede desplegar servidores de comando y control (C&C o C2) para establecer comunicación con la red informática del objetivo y hacerse cargo de ella. Sus ataques pueden ocurrir rápida e inesperadamente, lo que hace muy difícil para el equipo azul neutralizar la amenaza antes de que logre su objetivo. La actividad hostil incluirá sofisticadas pruebas de penetración física y digital, diseñadas para dar una evaluación sólida de las defensas del equipo azul. El equipo rojo es astuto y también introducirá señuelos diseñados para despistar a su oponente. En la defensa, el equipo azul Está formado por personal de seguridad interno de la empresa, a menudo
THREAT INTELLIGENCE
El equipo púrpura ayudará a su organización a sacar el máximo provecho del ejercicio y a aplicar las lecciones aprendidas para asegurar, como resultado, defensas más fuertes. desde su Centro de Operaciones de Seguridad (SOC), formado por analistas altamente calificados cuya labor consiste en mejorar las defensas de su organización, trabajando 24/7. Su objetivo es detectar, contrarrestar y debilitar al equipo rojo. El ejercicio de ataque está diseñado para mejorar las habilidades del equipo azul practicando una simulación de un ataque del mundo real. Muchas amenazas, como el malware y los correos electrónicos de phishing, serán interceptadas por software automatizado como, por ejemplo, productos de seguridad para puntos finales y herramientas de detección de amenazas. El equipo defensivo añade proactiva y reactivamente inteligencia humana a estas tecnologías. Identificará y neutralizará los ataques más sofisticados y supervisará cuidadosamente las amenazas identificadas y emergentes para defender su organización de forma preventiva. Debe entender cada fase de un incidente, incluyendo patrones de tráfico sospechosos y otros indicadores de compromiso. Debe responder en
consecuencia, cerrando rápidamente cualquier amenaza. Al mismo tiempo, debe identificar los servidores de comando y control del actor de la amenaza (equipo rojo) y bloquear su conectividad con el objetivo. El equipo azul realizará pruebas forenses y análisis de los diversos sistemas operativos de su organización, incluidos los sistemas de terceros. Para lograr este fin, realizará un análisis del tráfico y del flujo de datos mediante la revisión de los datos de registro. Detectará intrusiones en vivo y alarmas de triaje en tiempo real. Por último, recopilará información sobre las nuevas amenazas y priorizará la acción adecuada en función de la gravedad del riesgo planteado. El equipo púrpura garantiza el juego limpio Su objetivo es trabajar junto con los equipos rojo y azul, analizando el panorama general y la forma en que los equipos están trabajando juntos. Recomendará los ajustes que consideren apropiados o los anotarán para el futuro.
27
El equipo púrpura puede convertirse más en un concepto que en una función. De hecho, si el equipo rojo y azul trabajaran bien juntos, podría resultar redundante. En general, este equipo debe asumir la mentalidad de los otros dos y trabajar con ambos según corresponda. Por ejemplo, el equipo púrpura puede trabajar con el equipo azul para ver cómo se detectan los eventos, y luego cambiar al equipo rojo para revisar cómo están subvirtiendo los esfuerzos del equipo azul. Tiene la responsabilidad de supervisar los resultados y coordinar cualquier acción correctiva necesaria, como el parcheo de las vulnerabilidades y la capacitación de los empleados. En última instancia, ayudará a su organización a sacar el máximo provecho del ejercicio y a aplicar las lecciones aprendidas para asegurar como resultado defensas más fuertes. El resultado de este tipo de ejercicio es exponer las deficiencias, las vulnerabilidades y los vacíos legales; elimina cualquier imprecisión o suposición infundada en torno a la capacidad o la disposición de una organización para hacer frente a un ataque de este tipo, si se produjera de verdad.
CONTENIDO PATROCINADO
Redefinir el perímetro con Netskope Security Cloud Centrada en los datos, con inteligencia en la cloud, rápida y escalable, Netskope Security Cloud es el nuevo estándar para la seguridad de la red y los datos, en el que confían empresas de todo el mundo para su transformación digital y actualizar sus soluciones de seguridad heredadas y basadas en un perímetro tradicional que ya no existe. La plataforma de Netskope proporciona visibilidad, cumplimiento, control de acceso granular, protección contra amenazas avanzadas, prevención de fugas de datos y cifrado. Incluso con los usuarios y los datos fuera del perímetro de la empresa y de su control directo sobre SaaS, IaaS, Web, entregan un acceso seguro basado en el modelo Zero Trust.
El concepto de Gartner, “Secure Access Server Edge” (SASE), traslada la seguridad de la red a la nube. Netskope es capaz de consolidar las capacidades de red y seguridad como servicio en una solución de alto rendimiento, entregada desde la nube, y que puede inspeccionar y controlar datos y contexto para aplicar políticas a usuarios, dispositivos y servicios en todo el tráfico a Internet y aplicaciones tradicionales. Netskope Security Cloud combina, en una única plataforma, las capacidades de Cloud Access Security Broker (CASB), de Gateway de Seguridad Web de próxima generación (NG SWG), y Cloud Security Posture Management (CSPM) con el acceso seguro a aplicaciones basado en el modelo Zero Trust (ZTNA) para ofrecer una protección de datos completa frente
a amenazas y gestión de incidentes, tanto para sitios web y aplicaciones en la nube como para aplicaciones tradicionales. Su innovación y liderazgo queda patente como único proveedor de seguridad en la nube con una red global nativa cloud: Netskope NewEdge, que proporciona una arquitectura siempre disponible y de alto rendimiento, construida para mejorar las funciones de seguridad sensibles a la latencia, como la prevención de pérdida de datos (DLP). A diferencia de otras soluciones, el análisis consolidado y la aplicación de políticas unificadas se pueden gestionar desde una única plataforma, lo que ahorra tiempo y dinero. Asimismo, Netskope Security Cloud soporta una variedad de métodos de despliegue, desde el control en línea para aplicar políticas en cualquier lugar, siguiendo los datos vayan donde vayan en tiempo real, hasta conectores de API para servicios cloud corporativos. Ofrece una infraestructura abierta que permite la integración con las mejores aplicaciones de terceros (Vía API, SCMI, Log…) para mejorar la seguridad. En definitiva, solo Netskope ofrece una plataforma única basada en arquitectura SASE y acerca aún más a la industria al futuro de la seguridad de redes y datos basada en cloud. Para más información, por favor visite https://www.netskope.com/es/platform
28
CONTENIDO PATROCINADO
29
CONTENIDO PATROCINADO
METODOLOGÍA HACKER
El orden es la mitad de tu tiempo Fernando Ramiro Abad* El orden, siempre es la mitad de tu tiempo. Palabras sabias que repetía mi abuelo paterno, el Dr. Horacio José Abad. Todos los abuelos tienen ese don, poder dejarnos cosas de chicos que seguramente utilizaremos mucho de grandes. Y ustedes se preguntarán ¿qué tendrá que ver esto con la ciberseguridad? Lo más importante en este rubro, quizás no sea el conocimiento. Hoy cualquier joven o niño puede “googlear” o buscar en la web como desarrollar ciertas habilidades de explotación de vulnerabilidades, pero lo que lo transforma a un hacker en una verdadera amenaza, es la capacidad de ordenar cuidadosamente sus tareas y dirigir sus ataques hacia su potencial objetivo. Claramente debe tener muchos conocimientos de informática, de redes y de sistemas, y por supuesto, con el tiempo y la experiencia esos conocimientos pueden ser mejorados y escalados, pero si no van la mano con una idea de orden, no habría manera de que el intento de vulnerar un sistema dé sus frutos.
Hay muchos mitos sobre la ciberseguridad: nadie logra el acceso a un sistema en 90 segundos. Lograr un acceso y mantenerlo es una ardua tarea de expertos. Y entonces surge naturalmente una pregunta. ¿cómo se hace? ¿cómo hackeo? Antes de entender el ¿cómo?, deberíamos preguntarnos ¿qué hackeamos? Siempre el punto más vulnerable de cualquier sistema ha sido, es y será el “Factor Humano”. No importa en qué punto de la cadena de valor nos situemos, cualquier vulnerabilidad es potenciada por el hombre. Ya se trate de Ingeniería Social, Buffer Overflow, de SQL Injection o de Phishing, por citar algunas metodologías.
30
Fernando Abad, Co-Fundador y CEO de Qualix
Algunas faltas pueden ser generadas a partir de las malas prácticas, tanto en el desarrollo de software, programas, aplicaciones o servicios que están corriendo sobre un hardware, como a la interacción con los usuarios distraídos.
CONTENIDO PATROCINADO
Crédito: pexels.com/es-es
Hay muchos mitos sobre la ciberseguridad: nadie logra el acceso a un sistema en 90 segundos. Lograr un acceso y mantenerlo es una ardua tarea de expertos.
Son las personas quienes afectan a la seguridad y a la integridad de las infraestructuras de información. Entonces, más aún, el punto más fuerte a revisar en cualquier empresa, sin importar el tamaño o la actividad, debe de ser la metodología, el orden.
pueden ser generadas a partir de las malas prácticas, tanto en el desarrollo de software, programas, aplicaciones o servicios que están corriendo sobre un hardware, como a la interacción con los usuarios distraídos, que brindan información sensible sin comprender realmente lo que hicieron.
Consecuentemente, hackear es aprovecharse del error, que siempre está ligado a los humanos. Algunas faltas
Entonces surge nuevamente la pregunta ¿Cómo accedemos a estos errores? ¿Cómo hackeamos?
31
Para lograr este objetivo, un atacante experimentado busca definir su metodología, hacer orden y ser extremadamente minucioso en todas sus medidas. En primera instancia, define claramente su objetivo, entiende qué sistema atacará y se hará de toda la información posible para recrear el escenario que su víctima posee. En definitiva, buscará construir un laboratorio de iguales características y medioambiente al del objetivo, para luego intentar explotar el error que aún no fue descubierto, la vulnerabilidad que hará posible explotar ese error que aún no fue subsanado, para poder inyectar el shellcode que le dé acceso al sistema, al dato, a la información. Si nuestro atacante finalmente tiene éxito, entonces será posible obtener información con la delicadeza del más sutil artista y con el afán de no ser detectado. Del otro lado de la línea de defensa, los que nos toca proteger la salud de los sistemas, debemos entender, adoptar y mejorar minuto a minuto la metodología, construir nuestro orden. Debemos prepararnos y entender que somos vulnerables. No podemos cometer el mayor error de todos, el de ser escépticos. Debemos aprender que
CONTENIDO PATROCINADO
cuando busquen nuestras fallas y encuentren nuestros errores, lo que hará la diferencia es nuestra metodología, nuestro orden nos permitirá responder con celeridad y precisión. Entonces, ¿qué tan preparado estás para ello? ¿construiste una estrategia de defensa?, ¿contás con las herramientas adecuadas? Ya que estamos en este punto, dejame contarte cómo logramos con Cisco Umbrella establecer un orden y construir un plan de acción para Bancos y Mercados Financieros, donde hemos realizado un sinnúmero de análisis de vulnerabilidades y testeos de penetración para
disminuir al mínimo el factor riesgo. Es una plataforma de ciberseguridad basada en la nube que ofrece una primera línea de defensa mientras navegamos. Cada vez que un usuario visita un sitio, Umbrella realiza una comparativa de la reputación de la página e inspecciona el tráfico enviado a través de Internet, usando algoritmos de inteligencia artificial de Cisco Talos, el centro de análisis de amenazas más importante del mundo. Si la web que se está visitando es maliciosa, la bloquea y guarda la información dentro de su ranking de amenazas, construyendo una base de datos para todos los usuarios de Umbrella. Y si se trata de un sitio de cual no conoce su reputación, analiza el comportamiento para
32
rápidamente tomar una determinación. Al no requerir hardware adicional, la simpleza para instalar Umbrella, los rápidos resultados y la excelente performance y portabilidad de la solución, hacen que el trial sea una solución rápida y concreta. Estos casos de uso de Qualix, están basados en las recomendaciones que sugiere el National Institute of Starndards and Technology (NIST), que ofrece un marco de trabajo (framework) sano y seguro, que permite organizar las tareas y entender el riesgo en el que se encuentra cada institución. *Fernando Abad es Co-Fundador y CEO de Qualix
CONTENIDO PATROCINADO
33
CONTENIDO PATROCINADO
Netskope resuelve el acceso seguro Zero Trust para Entornos Híbridos de TI Netskope Private Access amplía la cobertura de la plataforma de Netskope para proporcionar una infraestructura de seguridad nativa cloud para todas las aplicaciones empresariales y el tráfico de Internet. Netskope presenta Netskope Private Access, una solución de Acceso a la Red basada en el modelo Zero Trust (ZTNA) y nativa en cloud, que proporciona acceso rápido y seguro a aplicaciones privadas, bases de datos, archivos compartidos, servidores y otros servicios alojados en nubes públicas y centros de datos empresariales. Netskope Private Access es la última herramienta incluida dentro de la plataforma Netskope Security Cloud, ofrecida a través de la red global Netskope NewEdge, y que, entre otras, facilita una conectividad con seguridad a los servicios alojados en datacenters tradicionales, hibridos y cloud, para los usuarios autenticados, es compatible con cualquier aplicación y protocolo,
reduce el riesgo empresarial y simplifica la infraestructura de TI. El hecho de que los proveedores de VPN heredados no puedan cubrir los nuevos casos de uso que demandan los dinámicos entornos de TI híbridos, ha llevado a las organizaciones cloud first a buscar soluciones que ofrezcan un acceso fácil y seguro a las aplicaciones en múltiples ubicaciones, sin necesidad de tener que enrutarlas a través de la WAN corporativa. Este enfoque de ZTNA permite proteger las aplicaciones y los recursos internos contra las amenazas externas, al tiempo que asegura un control de acceso a nivel de aplicación basado en la identidad del usuario y la postura de seguridad del dispositivo.
Una plataforma cloud completa Netskope sigue liderando el mercado gracias a una plataforma cloud consolidada y unificada que asegura la visibilidad, el acceso seguro, la protección contra amenazas y la seguridad de los datos sensibles para los empleados conectados a Internet. La innovación y el liderazgo de Netskope se muestra en que, en la actualidad, es el único proveedor de seguridad en la nube con una red global nativa cloud, denominada Netskope NewEdge. Esto proporciona una arquitectura siempre disponible y de alto rendimiento construida para mejorar las funciones de seguridad sensibles a la latencia, la prevención de pérdida de datos (DLP) y la protección contra amenazas. Como parte de Netskope Security Cloud, Netskope Private Access (NPA) ofrece ZTNA a través de un mismo cliente único, y su gestión, usando la misma consola, asegura protección de datos frente a amenazas, gestión de incidentes para sitios web y aplicaciones en la nube y aplicaciones tradicionales. Netskope Private Access ha sido seleccionada por diversas empresas ya que, por su rápido despliegue, elimina la gran cantidad de accesos VPN en favor de un acceso controlado provisto como servicio. Ahora todos los empleados pueden acceder de forma segura a las aplicaciones privadas dondequiera que ellos estén. Para más información, por favor visite https://www.netskope.com/products/ private-access.
34
CONTENIDO PATROCINADO
35
CAREER DEVELOPMENT
OPINIONES DE EXPERTOS
CCSK vs CCSP - II parte Al igual que con la inteligencia convencional, existen diferentes niveles de inteligencia de amenazas cibernéticas: operativa, táctica y estratégica. La inteligencia estratégica informa a los más altos responsables de la toma de decisiones, la inteligencia operativa se dirige a quienes toman las decisiones cotidianas y la inteligencia táctica se centra en las unidades que necesitan información instantánea. CCSP | Certified Cloud Security Professional (versión 2017) (ISC)2 es la organización que obtiene el crédito por el CCSP. Sin embargo, (ISC)2 y Cloud Security Alliance (la organización que fundó CCSK) colaboraron para crear el curso CCSP y el examen de certificación. El CCSP es, en mi humilde opinión, más adecuado para los titulares de CISSP. El CCSP abordará muchos temas que son conocimiento supuesto en el CCSK. Por ejemplo, el modelo de referencia OSI está cubierto en el CCSP, mientras que el CCSK asume que ya tienes este conocimiento al hablar sobre la encapsulación de paquetes en una red SDN. Detalles del curso La principal diferencia entre CCSP y CCSK se puede encontrar en tres áreas: discusión de gobierno ampliado, seguridad del centro de datos y privacidad. Se espera que un
CISSP comprenda una amplia gama de dominios de seguridad, e ISC2 quiere asegurarse de que los profesionales certificados por CCSP sean plenamente conscientes de los problemas de gobernanza y seguridad que acompañan a la nube, el centro de datos y la privacidad de los consumidores que utilizan los servicios en la nube. Entonces, cuando el polvo se asienta, la siguiente fórmula resume bastante bien el nuevo CCSP: CCSP = CCSK + Elementos de gobierno ampliado + Seguridad tradicional + Privacidad. El curso CCSP normalmente se imparte en un período de 5 días. Hay algo de repetición en el material y se lo puede terminar en los 5 días asignados. Yo tampoco diría que se puede hacer en 4 días. Formato del curso El curso de CCSP es casi un 100% conferencia. No hay laboratorios en absoluto. En su lugar, tiene una
36
Leonardo Rosso
La principal diferencia entre CCSP y CCSK se puede encontrar en tres áreas: discusión de gobierno ampliado, seguridad del centro de datos y privacidad.
CAREER DEVELOPMENT
La cobertura incluye todo lo que un profesional de seguridad de la información debe saber para proteger un entorno, desde el diseño físico de un centro de datos hasta la seguridad de la aplicación en la nube.
(ISC)2 actualizó el Libro Común del Conocimiento (CBK) de CCSP y el curso en 2017. Esta actualización amplía los conceptos, introduce nuevos temas (como la economía de nube, requisitos empresariales, etc.) y nuevas tecnologías (por ejemplo, DevOps, Contenedores, etc.), aunque en menor grado técnico que el CCSK. Desglose del examen CCSP En cuanto al examen en sí, estoy bajo un NDA por lo que, naturalmente, no puedo entrar en los tipos de preguntas que presentan. Sin embargo, creo que sería una declaración justa decir que el candidato promedio para el examen CCSP es un titular de CISSP y se evaluará en cuanto al conocimiento de la nube y los conceptos tradicionales de seguridad de centros de datos.
Crédito: Rawpixel.com
serie de preguntas y respuestas y tipos de escenarios de grupos de trabajo que se reparten a lo largo del curso. Esto convierte al CCSP en un curso que podría considerarse de naturaleza más estratégica, casi lo inverso del CCSK.
CCSP aparece como un curso de 40 horas, por lo que debe llevarse a casa aproximadamente 35 CPE.
dero que son los puntos fuertes de ambas ofertas. ¿Cuál prefiero?
Reflexiones finales sobre CCSP Si bien la última versión del CCSP amplía la discusión sobre temas estratégicos, no se adentra en la misma discusión táctica que se encuentra en el CCSK. El curso está escrito en la misma línea que el CISSP, por lo que la cobertura incluye todo lo que un profesional de seguridad de la información debe saber para proteger un entorno, desde el diseño físico de un centro de datos hasta la seguridad de la aplicación en la nube. Como dije antes, no tengo un sesgo aquí. He establecido lo que consi-
37
Aprecio la cobertura del CCSP, pero si tuviera que hacer solo uno, haría el CSSK porque está 100% centrado en la seguridad de la nube y los patrones arquitectónicos, así como las tecnologías específicas de la nube se tratan con mayor profundidad (incluso más después de la actualización v4). Si tiene el tiempo y los recursos para hacer ambas mejor. En ese caso, haría el CCSK primero, luego el CCSP. De cualquier manera, la única manera de equivocarse es no hacer ninguna de las dos.
VOCES
“Lo inalámbrico implica fronteras extendidas” Ricardo Goldberger Aruba Networks es la compañía de networking de Hewlett Packard Enterprise. Como en los últimos años en el mundo, y por cuarta vez en la Argentina, el 14 de noviembre de 2019 se organizó Aruba Atmosphere. Según el comunicado oficial, en este evento se exploró “el rol de la Inteligencia Artificial y la Automatización en la administración y la seguridad de la infraestructura de TI en la era de la Nube y la Internet de las Cosas”. En ese marco, conversamos con Hugo Riveros, gerente de ingeniería de Aruba, acerca de la visión que la compañía tiene de la ciberseguridad. ¿Cuál es el enfoque que ustedes le dan a la ciberseguridad? Hay dos preocupaciones que aparecen cuando los clientes evolucionan de lo físico a lo inalámbrico y es calidad de experiencia y seguridad. Lo más importante para el cliente es que cuando se desconecta del cable y se conecta a cualquier otro lado, la calidad de la experiencia sea buena. Y también la seguridad. Las fronteras cambian y ya no estamos hablando sólo de medios físicos: la señal traspasa las paredes. Yo puedo estar fuera de un banco ejerciendo un ataque sobre su red inalámbrica o puedo tener un sniffer, una capturadora de paquetes fuera, para ver qué paquetes están gene-
rando. Ese perímetro ya se extiende por la red inalámbrica y entonces es más difícil de controlar. Ustedes plantearon un concepto muy interesante: el de “fronteras extendidas”… Ya no estamos hablando únicamente del perímetro de la salida a Internet, donde yo conecto el firewall, si no que está la red de acceso, los puertos cableados, que también tienen su riesgo, pero ahora la red inalámbrica se extiende más allá de las fronteras físicas. Entonces debemos tener seguridad para evitar ataques sobre el primer punto de entrada, que es el paquete que entra y cómo lo podemos trabajar de una forma más eficiente. Entonces
38
Hugo Riveros
ahí tenemos el nivel conceptual, que es el tráfico que entra a la red por el access point o por el switch y que luego pase por un firewall que va a cuidar ese nuevo perímetro de la red. Cuando extendemos la red a una controladora, ella tiene un firewall adicional y yo puedo hacer que el tráfico inalámbrico o el cableado pase por ese firewall para darnos una capa de seguridad más. Luego, cuando va a salir a Internet, pasa por el firewall de perímetro tradicional, que puede ser un Palo Alto, un Check Point o un Fortinet u otras marcas. Ahí yo necesito que haya una integración, para que ese flujo se trabaje de una forma eficiente y se respete de acuerdo a las políticas. Habitualmente las redes son heterogéneas, no de un solo fabricante, y
VOCES
Si yo me conecto a una computadora, necesito validar si ese elemento que está entrando a la red tiene la salud adecuada para entrar y no infectar otros dispositivos.
la administración debe poder hablar tanto con la red nuestra como la de terceros para generar esa seguridad transversal que necesitamos. Ésta es como la primera capa tradicional que nos permite tener una seguridad mucho más granular. Otro concepto que mencionaron es el de “salud del dispositivo” Supongamos que ya pasamos esas políticas y ahora necesitamos también asegurar que el usuario tenga una forma de conexión simple, que esté integrada de una forma segura, que tenga las políticas adecuadas, pero también validar la salud del dispositivo. Si yo me conecto a una computadora que tiene un firewall desactivado o el antivirus desactualizado, necesito validar si ese
elemento que está entrando a la red tiene la salud adecuada para entrar y no infectar otros dispositivos. Supón que hay un ataque donde el dispositivo se ve comprometido y una vez infectado empieza a esparcirse en la red interna. Podemos analizar la salud del dispositivo: si tiene una salud adecuada, entra. Si en el lapso en que está dentro de la red llega a modificarse alguno de esos parámetros de salud, yo lo puedo sacar. Ustedes dijeron que están trabajando en la automatización de esa configuración, para que le resulte fácil el uso de la conexión al usuario final o administrador. Pero esa configuración está basada en un estándar; después me imagino que habría que personalizarla de acuerdo al tipo de red, al tipo de negocio, al tipo de datos que se trafica ¿no? Hacia dónde vamos es que el sistema sea muy seguro, pero también flexible, sobre todo para hacer la parametrización que yo necesito en el momento de la red. El gestor principal de políticas es lo que me permite generar algunas condiciones sobre las cuales se produce la acción. Si el contexto cambia, cambia el comportamiento de la red. Si me estoy logueando desde la cafetería, voy a tener un comportamiento diferente que si me estoy logueando desde mi puesto en mi zona de trabajo. Ahí voy a tener acceso a distintos recursos. La solución identifica el dispositivo, usuario y contraseña y lugar desde donde se conecta.
39
¿Cómo ves la intervención de la Inteligencia Artificial en el proceso? Tenemos un avance bien interesante y es que tradicionalmente el administrador de redes trataba de parametrizar qué tipo de dispositivo se conecta, de una forma muy manual. Ahora la red empieza a aprender qué dispositivo se conecta, cómo se está comportando la red, el usuario, y toda esa información va a quedar en un repositorio en la nube de crowdsourcing donde muchas personas están contribuyendo y donde muchos dispositivos se están vinculando y generando información. Entonces cuando se conecte un dispositivo, será mucho más fácil de identificar y configurar. Con el asunto de IoT, cuando yo hago un descubrimiento en la red, me sale un porcentaje muy alto de dispositivos desconocidos y no sabemos si es una cámara, un sensor o un dispositivo médico. Tenemos que buscar alguna forma de aumentar la granularidad para tener políticas más completas y machine learning me facilita encontrar esta información. Así, puedo tener la certeza de qué maquina es y asignar las políticas correctas. Yo lo configuro una vez, al comienzo de la implementación y luego la parametrización mezclada con el contexto conserva o modifica la configuración. Es una red viva que empieza a aprender de la nube, que sabe qué dispositivos son y en base a las políticas diseñadas, sabe cómo configurarse.
HABLAN LOS EXPERTOS
La ciberseguridad en tiempos de COVID-19 Jorge Nunes* El advenimiento de la pandemia de COVID-19 trastocó la vida y la actividad de las personas y de la sociedad, en todos los países del mundo cambiando la forma de relacionarnos. El impacto sobre la economía mundial ha igualado o superado crisis históricas y su final es aún imprevisible. Como no podía ser de otro modo, también está generando consecuencias sobre la ciberseguridad. No son pocos los casos de individuos inescrupulosos que han aprovechado la preocupación mundial para difundir noticias falsas a través de las redes sociales, apelando al miedo y a potenciales efectos catastróficos inminentes. Los piratas informáticos se han hecho pasar por la Organización Mundial de la Salud (OMS) desde los primeros días del brote, una estrategia particularmente censurable. Los equipos de las víctimas fueron infectados por un malware. Han utilizado el miedo y la confusión para expandir virus informáticos de maneras cada vez más sofisticadas. La BBC ha estado rastreando algunas de las estafas de phishing por correo electrónico reportadas por las organizaciones de ciberseguridad desde que el brote del coronavirus se conoció. Se han detectado cientos de diferentes campañas criminales que han enviado millones de correos electrónicos falsos. Esto ha traído confusión, miedo y
desinformación en muchas personas desprevenidas, que carecen de la preparación necesaria para diferenciar la información legítima de la falsa o malintencionada. La duda es ¿Debimos haber considerado con mayor seriedad los programas de concientización para los usuarios de nuestros servicios? ¿Hicimos lo suficiente?
Jorge Nunes
Teletrabajo En estos días, muchas organizaciones públicas y privadas debieron licenciar, por distintos motivos, a parte o a todo el personal, apelando a herramientas de trabajo a distancia no exploradas o configuradas como corresponde. Existen variadas amenazas que pueden materializarse si se implementan soluciones de este tipo sin pensar previamente en la seguridad o sin tener en cuenta este aspecto en todo el proceso. Por ejemplo, se ha detectado un incremento del ransomware via RDP (escritorio
40
remoto) debido a que se han abierto puertos en el router por necesidades operativas. Esto significa que, con el aumento de este tipo de conexiones y la exposición de un mayor número de equipos con puertos accesibles, el número de víctimas a ataques de ransomware y de otra índole aumentó. ¿Estaban preparadas las empresas para utilizar técnicas de cifrado en las notebooks y otros medios de almacenamiento empleados por el personal
HABLAN LOS EXPERTOS
La duda es ¿Debimos haber considerado con mayor seriedad los programas de concientización para los usuarios de nuestros servicios? ¿Hicimos lo suficiente? para trabajar desde sus hogares? ¿Se habían establecido las redes privadas virtuales necesarias para cualquier conexión remota a los servicios y aplicaciones de la organización? ¿Se había entrenado al personal en el debido cuidado de la información y los dispositivos de la empresa que se llevaban fuera de sus edificios? ¿Se contaba con un registro centralizado de los dispositivos, perfiles y sistemas utilizados, de manera de darlos de baja en caso de robo del dispositivo u otro inconveniente similar? ¿Existían políticas para el uso de dispositivos propios (BYOD)? Estos son algunos ejemplos, pero pueden ser muchos más, según las características y cultura de las empresas y organismos públicos. Las respuestas, en muchos casos, pondrán en evidencia que no se adoptaron todas las medidas necesarias para enfrentar un escenario como el que nos afecta, que hoy es mundial, pero podría haber sido local para la organización, con similares consecuencias. La recomendación es mantenerse alerta, pero conservando la calma, y no dejarse llevar por el pánico. Con-
sejos que se aplican tanto al acceder al enlace de un e-mail que no hemos solicitado sobre el coronavirus o al implementar soluciones tecnológicas de teletrabajo para los empleados. Estar aler ta sobre este tipo de prácticas nos ayudará a estar más prevenidos y evitar ser la próxima víctima de un engaño que se hará con nuestros datos y nuestro dinero, o una infección informática que bloqueará el equipo y pondrá en riesgo a otros. No importa si somos un usuario individual o si formamos parte de una organización, el avance del COVID-19 sigue imparable, pero
41
todos tenemos en nuestras manos frenar un virus que es físico e impacta en el mundo digital. ¿Habrá llegado la hora de repensar la ciberseguridad para priorizar las acciones preventivas y fortalecer los recursos humanos entendiendo que, correctamente entrenados, pueden ser un escudo para la organización y una contribución a su continuidad? Esta crisis pasará tarde o temprano, esperemos que en el menor tiempo posible. Resta desear que aprendamos la lección y no haya pasado en vano.
HABLAN LOS EXPERTOS
OPINIONES DE EXPERTOS
Transformación Digital: más allá de la biometría Por Sebastián Stranieri, CEO de VU La transformación digital es la nueva protagonista estrella del mundo fintech. Todos han escuchado hablar de ella, pero no todos se refieren a ella de la misma manera. Por ejemplo, muchas fintech y bancos incorporaron soluciones de biometría a su modelo de negocio, pero eso es sólo parte de la estrategia de transformación digital. El concepto es mucho más amplio y debería tener al cliente en el centro para generar servicios que resguarden la privacidad y confidencialidad de los usuarios. Algo similar pasa con la ciberseguridad, que dejó de ser un problema tecnológico para convertirse en una cuestión primordial del negocio. En los últimos años, el tema llegó a las tapas de los principales medios del mundo. Entre 2011 y 2014, compañías proveedoras de energía en Canadá, Estados Unidos y Europa fueron afectadas por el grupo de ciberespionaje Dragonfly. En 2017, los ransomware WannaCry y NotPetya tuvieron como rehenes a organizaciones públicas y privadas de telecomunicaciones, salud y logísticas. En 2018, Meltdown y Spectre fueron las mayores amenazas cibernéticas, demostrando que las vulnerabilidades se encuentran tanto en el hardware, como en el software. Según el último reporte realizado por VU Labs, el 45,3% de las organizaciones participantes asegura haber sido víctima de un ciberataque en los últimos tres años.
Estas tendencias se seguirán profundizando en los próximos años. De hecho, se estima que para el 2023, el mercado de la ciberseguridad a nivel mundial ascenderá a 248 mil millones de dólares. El mismo estudio reveló que un 73,8% de las empresas consultadas incluye inversiones en ciberseguridad en su presupuesto, lo que demuestra su importancia a la hora de delinear una estrategia exitosa. Integrar ciberseguridad en la transformación digital Las soluciones de ciberseguridad se incorporan a la estrategia del negocio para: 1. Eliminar los silos de identidad.
Hoy en día, las empresas y sus empleados se registran en diferentes plataformas para acceder a los
42
Sebastian Stranieri, CEO de VU
HABLAN LOS EXPERTOS
servicios. Soluciones de biometría integradas dentro de un application server y potenciados con análisis del comportamiento y machine learning, permiten que las personas puedan operar con una única identidad en cualquier momento, desde cualquier lugar y a través de cualquier plataforma. Esto ayuda a mejorar la experiencia de usuario y la vida del ciudadano utilizando procesos con menor fricción. 2. Generar servicios que resguarden la
privacidad y confidencialidad de los usuarios. La identidad de los usuarios es uno de los bienes más valiosos que tiene la empresa y son clave para su negocio. Actualmente, muchas empre-
sas emplean soluciones de biometría para protegerla. 3. Reutilizar la información captu-
rada para mejorar la experiencia del cliente. Es un desafío para las empresas reconquistar a los usuarios una vez que dan de baja un servicio y comenzar a pensar estrategias para cuando los servicios que brindan sean 100% digitales. No obstante, gracias a la tecnología, se puede saber por qué la persona abandonó a la compañía y volver a atraerla. Para evitar llegar a esta instancia, se recomienda que las empresas desarrollen tácticas de UX en las que incorporan la usabilidad del usuario desde su concepción.
43
La ciberseguridad dejó de ser una desconocida para convertirse en un elemento clave de cualquier estrategia para potenciar el negocio. Puede aplicarse en cualquier segmento de mercado y tiene infinidad de usos: desde validar un usuario para el ingreso a un edificio hasta el pago de un producto en el supermercado o una transacción bancaria. En cualquier caso, se busca que los sistemas de seguridad sean infalibles, seguros y rápidos, mediante la identificación de rasgos únicos de cada persona, impidiendo la posibilidad de compartir claves, códigos de ingreso o tarjetas de acceso. La ciberseguridad es la clave para el cuidado de la identidad digital de los ciudadanos del futuro.
HABLAN LOS EXPERTOS
La seguridad no es sólo tecnología Alejandro Pugliese* Cuando me propusieron escribir esta nota, lo primero que pensé es en cómo hacerlo sin hablar del virus más relevante de los últimos tiempos. Dicho esto, intentaré dar un enfoque haciendo énfasis en los cambios que nos traerá este 2020. El avance de la pandemia causada por el Covid-19 forzará la adopción del trabajo remoto. Las empresas necesitan continuar con su negocio incluso con gran cantidad, o mejor dicho, la totalidad de su personal trabajando desde sus hogares a causa del aislamiento. Esto llevará a la adopción de tecnologías de colaboración y videoconferencia. También está previsto que se adopten las tecnologías cloud, principalmente por la escalabilidad que permiten, especialmente en estos momentos en que nuestro universo digital, que se viene construyendo desde hace años, cobra vital importancia y criticidad en la continuidad de operación tanto para las empresas como para las personas. En consecuencia, también se verán incrementadas las amenazas en ma-
teria de seguridad, razón por la cual debemos estar preparados. Principalmente en el caso de los playbooks que exponen el proceso y la elección del vocero para comunicar las iniciativas. Inevitablemente comienza en los niveles más altos de la organización, pero se trata de un papel que todos en la empresa puedan desempeñar y es importante que quienes conozcan de la materia puedan difundir la información de manera correcta, ya que será necesario poder cubrir las necesidades ante las altas demandas de vulnerabilidades. Tendremos que ocuparnos de proteger la información y los datos que tenemos y para esto el compliance es un aliado, ya que nos permite desarrollar nuevas prácticas sobre cómo optimizar el uso y protección de datos y quienes lo respeten serán quienes ofrezcan una marcada ventaja competitiva. Po-
44
Alejandro Pugliese
Tendremos que ocuparnos de proteger la información y los datos que tenemos y para esto el compliance es un aliado.
HABLAN LOS EXPERTOS
Ahora bien, desde nuestro lugar como expertos en seguridad informática debemos priorizar la formación de nuevos talentos en ciberseguridad para que puedan dar soporte en todas las áreas. Al fin y al cabo, la seguridad no es un problema únicamente tecnológico. Respecto a las criptomonedas, las mismas se basan en la protección de las claves privadas de los usuarios. Estemos atentos ya que para los ciberdelincuentes ésta será una de las principales ambiciones para este 2020. La continua proliferación de dispositivos IoT está haciendo que el edge computing sea un componente esencial en infraestructuras de IT. Pero las amenazas aparecen a medida que se multiplica el número de endpoints en la red. Un incidente de seguridad importante podría hacer que las empresas se apresuren en invertir en gateways de dispositivos monitoreados para tenerlos así controlados.
Crédito: onlyyouqj - freepik.es
demos afirmar que es una tendencia que, a la hora de tomar decisiones, el usuario final opta por este tipo de empresas como proveedoras dentro de las alternativas. Así como también lo harán quienes busquen socios estratégicos para hacer crecer su negocio.
Para hacer frente a todos estos cambios, debemos dejar el trabajo duro de ciberseguridad a la tecnología y de esta forma enfocarnos de lleno en el análisis y razonamiento profundo que la tecnología no logrará por sí misma. Me gustaría cerrar esta nota con una adaptación con las 3 reglas de la robótica escritas hace mucho tiempo por el querido Asimov. ¿Será factible adaptarlas a la ciberseguridad? Después de todo la seguridad no es una problemática únicamente tecnológica.
45
1. Una solución no evitará el daño a
una organización o, por inacción, permitirá que la misma sufra daño. 2. Una solución debe cumplir las órde-
nes otorgadas por la organización, a excepción de aquellas que entren en conflicto con la ley primera. 3. Una solución debe protegerse a sí
misma en la medida en que esta protección no entre en conflicto con la primera o con la segunda ley. *Solutions Architect of Cybersecurity & SDDC - BGH Tech Partner
HABLAN LOS EXPERTOS
Las VPN bajo la lupa ¿Solución al trabajo remoto? ¿o no? Agustín Robles* (Con apoyo de Adam McCord**) En cuestión de semanas, las VPNs han surgido como una única propuesta de solución al trabajo remoto. Este requerimiento de conectividad es derivado de la imposibilidad de estar en nuestras oficinas. El riesgo es claro: debemos aplanar la curva de contagios del COVID-19 y la única manera de lograrlo es evitar el contacto con otras personas. Sin duda muchas organizaciones han dado ya pasos gigantescos en transformación digital. Pueden ofrecer a clientes, proveedores y usuarios internos plataformas de trabajo basadas en nube, accesos vía SaaS o plataformas Web. Sin embargo, y especialmente en Latinoamérica, la brecha para tener la mayoría de los servicios presentados desde Internet es muy amplia. Esto ha traído como receta mágica la instrucción de levantar VPNs, a veces olvidando temas básicos de seguridad que pueden poner a las empresas en un verdadero dilema de Ciberseguridad. Las VPNs abren la puerta al corazón de la organización y son la ruta perfecta para los atacantes. Por eso queremos hacer las siguientes
recomendaciones como piso mínimo de ciberseguridad:
Agustín Robles
1. Utilizar MFA o múltiples facto-
res de autenticación. Pueden ser Biométricos, OTPs, o QR generados de manera dinámica con información única del usuario. Usar sólo contraseñas del directorio activo en general es muy débil. Si consideramos la cantidad de ataques de ingeniería social y phishing, la premisa básica es que el atacante ya cuenta con esa contraseña, y debemos hacer mucho más robusta la autenticación. 2. Segmentar los accesos de las VPNs.
Es necesario dar acceso a los usuarios a segmentos restringidos; si no
46
se tiene una segmentación interna es indispensable crearla antes que los accesos. En mi experiencia, menos del 70% de las redes en Latinoamérica tiene creados segmentos internos adecuados, lo que permitiría que esos accesos fueran utilizados como vía de ataques: Recordemos que los ataques requieren primero un robo de credencial; luego, un acceso interno con movimientos laterales y por
HABLAN LOS EXPERTOS
último, la ejecución del daño. En este ejemplo el acceso es otorgado por la VPN débil, el movimiento lateral es otorgado por la falta de segmentación y finalmente la escalación de privilegios y abusos, daño, o robo de información es factible porque los elementos críticos no fueron aislados. Los criterios de segmentación deben considerar los principios de ”Need to Know & Least Privilege”, lo que significa autenticación robusta y accesos definidos a nivel de los segmentos y las aplicaciones específicas e inclusive las funciones específicas permitidas. 3. Aplicar capas de seguridad sobre
la conexión. Las VPNs sin capas de seguridad me recuerdan a los años 60s en términos de irresponsabilidad por transmitir enfermedades sexuales. El principio básico que debemos asumir es el no confiar en nadie: Zero Trust. Nadie está exento a tener un compromiso previo en su equipo, lo cual permite el movimiento lateral de una infección de malware, o inclusive el acceso irrestricto de un atacante. La conectividad debería evitar un acceso “real” a la red, es mucho más seguro poder contar con un “Jump Server”, es decir, un elemento que presente solamente de manera gráfica y sumamente acotada la conectividad que ha sido otorgada. De esa forma la conexión no es directa, se simula y se evita cualquier contagio o ataque formal al elemento interno. Si no se puede
La vulnerabilidad de los negocios es alta por el entorno económico. Entonces, un golpe acertado de la ciberdelincuencia puede significar la diferencia entre salir adelante o no para muchas empresas. contar con un elemento así, al menos las capas de seguridad deberían poder detectar los contenidos en tránsito tanto de información, como malware o exploits provenientes del host candidato a conectar. 4. Auditar los accesos a elementos
críticos de la infraestructura: Si usted piensa dar accesos remotos a proveedores o actores internos a elementos críticos sin controles robustos y con VPNs, es momento de pensarlo dos veces. Los elementos críticos son aquellos que permiten controlar la totalidad de la operación de la empresa: Controladores de Dominio, Administración de elementos de virtualización, servidores DNS, acceso a consolas de PAAS, SAAS, IAAS, entre otros muchos que pueden representar al atacante las verdaderas joyas de la corona o, para un administrador malintencionado, la oportunidad de abusar de sus privilegios. Dar acceso a este tipo de elementos con una simple VPN es darle la llave de su organización a los Ciberdelincuentes. En este caso los requerimientos que mencioné previamente se vuelven mandatorios y le sumo uno más: la posibilidad
47
de que esas conexiones queden grabadas tanto en video, como en interacciones de texto; adicionalmente se debería poder desconectar a un administrador que quiera realizar acciones de abuso, y ser reportadas de manera inmediata al equipo de detección y respuesta de incidentes. Algunos colegas creen que estoy exagerando, que las VPNs por definición son seguras, o tal vez no quieran invertir tiempo en reforzar con esquemas de Ciberseguridad avanzada. Dados los múltiples ejemplos que nos toca ver todos los días, les pido que no echen este artículo a un saco roto. De por sí la vulnerabilidad de los negocios es alta por el entorno económico. Entonces, un golpe acertado de la ciberdelincuencia puede significar la diferencia entre salir adelante o no para muchas empresas. Deseo que todos permanezcan sanos y con el ánimo arriba. La pandemia también pasará. * Country Manager, Mexico – CyberArk ** Vice President, Latin America – CyberArk
HABLAN LOS EXPERTOS
“Human First” y zero trust, las claves de F5 Emanuel Hermosilla * y Andres García ** ¿Cuáles serán los principales vectores de ataques en 2020 en la Argentina? La Argentina sigue un patrón común en todo el mundo, el robo de la información es el objetivo más común de los ciberdelincuentes y el que parece tener un mayor crecimiento en los últimos años. Phishing o robo de identidad, malware (virus, troyanos, gusanos, keyloggers, botnets, ransomwares, spyware, adware, hijackers, keyloggers) y DDoS (Distributed Denial Service) suelen ser los vectores de ataque más comunes. Existen muchos otros vectores de ataques no menos importantes como macros maliciosas, sniffing, etc. ¿Qué cambios sustanciales prevén en ese sentido con respecto a lo sucedido en 2019? Es difícil hacer una predicción. Algún evento global, gubernamental, social, etc. en el futuro podría dar un giro de 180 grados en lo referente a ciberataques.Lo que sí podemos asegurar, analizando lo que viene pasando año tras año, es que seguramente el ciber-
crimen aumentará y que el robo de la información seguirá siendo uno de los objetivos más comunes y recurrentes, dado su exponencial crecimiento en la web y el beneficio que les genera a los ciberdelincuentes. Cualquier cosa es esperable, desde lo económico —en el caso de robo de credenciales bancarias— hasta de extorsión y daño de la imagen en políticos, personas públicas e influyentes y grandes empresas. ¿Qué mercados verticales creen serán los principales objetivos de ataques? Los que lideran siempre los rankings a nivel mundial, son las empresas de redes sociales, gobierno, banca y grandes empresas que manejan información privilegiada de sus clientes como ser las aerolíneas, retail, etc. y no se ve un posible cambio en esto. ¿Cuáles son los puntos clave de una estrategia de seguridad que deberían tener en cuenta las organizaciones ante este panorama? No confiar sólo en un modelo de se-
48
Andres García
HABLAN LOS EXPERTOS
Hay muchos mitos sobre la ciberseguridad: nadie logra el acceso a un sistema en 90 segundos. Lograr un acceso y mantenerlo es una ardua tarea de expertos.
guridad perimetral clásico, en el que solo desconfiamos y nos protegemos de las amenazas externas. Hoy, dadas las existentes y los métodos utilizados por los ciberdelincuentes, hay que ir a un modelo de zero trust, es decir, nunca confiar, siempre verificar y, por lo tanto, imponer la autenticación y verificación para cada usuario o dispositivo que intente acceder a los recursos. Un factor importante, y que muchas veces se deja de lado en un plan de seguridad, es la capacitación a nuestros clientes en buenos usos de los sistemas y medidas de seguridad básicas cuando manipulan sistemas o información en la web. ¿Cómo están trabajando para que los canales tengan la capacidad de diseñar soluciones de seguridad efectivas para sus clientes? Desde hace casi 5 años, y con una pendiente mucho más pronunciada en los últimos dos, desde F5 Networks, nos transformamos. Nuestros canales, cuentan con el conocimiento para poder no solo “saber” de F5, sino también
Hay una frase, que sostiene que “en la crisis hay una oportunidad”. Nuestro mercado creo que se sorprenderá, por el aprendizaje de que el Teletrabajo, HomeOffice, o como se quiera llamar, funciona, y muy bien. Estamos con una gran cantidad de clientes en Cono Sur, entregando entrenamientos (workshops, demos y otros) ad-hoc, nuestro departamento de marketing, disponilizó en un tiempo record, webinars técnicos, y de un nivel superior.
Ya lo estamos haciendo. Nuestro CEO, François Locoh-Donou , en una acción directa de responsabilidad empresarial y sensibilidad humana, impulsó una campaña interna que promovió la frase “Humans First”, con lo cual no salimos a buscar negocios, sino a acompañar, en un desafío sin precedentes junto con nuestros canales, a muchos clientes. Habilitamos las funciones y conocimiento para que miles de personas pudiesen trabajar desde su casa, en tiempo récord, brindando continuidad a la operación de las empresas y con costo 0. Algunos, además, adquirieron soluciones y servicios de nuestros canales, porque ya nuestra tecnología no sólo fue revolucionaria, sino que fue realmente transformadora en sus organizaciones. “Human First”, o sea, cuidar y valorizar a nuestros asociados, es nuestra mejor campaña de fidelización.
¿Qué acciones organizarán este año para fidelizar a los canales o para generar demanda en este contexto signado por el coronavirus?
* Territory Account Manager Argentina de F5 Networks ** Sales Engineer de F5 Networks para Argentina, Paraguay, Uruguay y Bolivia
hacer con F5, por esto ya no hablamos de acrónimos, o funciones, sino casos de uso, para poder aplicarlos según la vertical, necesidad, y sobre todo realidad de cada cliente. ¿Cómo están trabajando para llevar a los clientes finales información útil para que puedan desempeñarse en forma remota con seguridad en este contexto de pandemia?
49
ACTUALIDAD
WatchGuard Technologies adquirirá Panda Security WatchGuard Technologies, proveedor global de seguridad e inteligencia de red, Wi-Fi seguro y autenticación multifactor anunció, el 9 de marzo pasado, que ha firmado un acuerdo definitivo para adquirir Panda Security, proveedor de protección avanzada en el endpoint. Watchguard ofrece, en un solo SKU, la entrega de un paquete completo de soluciones avanzadas de seguridad de red, que incluyen GAV, IPS, VPN, sandboxing y detección, correlación y respuesta avanzadas de amenazas. Bajo su equipo actual, la compañía ha proporcionado una cartera de productos y servicios de seguridad que protejan a los usuarios tanto dentro como fuera del perímetro de la red, incluidas soluciones seguras de Wi-Fi, autenticación multifactor y ahora lo más reciente, servicios de seguridad centrados en el usuario.
La adquisición de Panda impulsa esa visión de la compañía y expande la cartera de productos y servicios de detección y respuesta a amenazas centrados en el usuario. “Las empresas hoy enfrentan un panorama de amenazas cada vez más sofisticado y en evolución, escasez de profesionales de seguridad capacitados y un perímetro cada vez más poroso. Como resultado, la seguridad de la red, la protección avanzada de los endpoints, la autenticación multifactor, las redes
seguras y las capacidades de detección y respuesta ante amenazas se clasifican constantemente como las principales áreas de inversión en seguridad por parte de los tomadores de decisiones de TI y los proveedores de soluciones de TI que los atienden “, dijo Prakash Panjwani, CEO de WatchGuard. Panda Security ha pasado los últimos 30 años dedicada a la protección avanzada para el endpoint de empresas y consumidores por igual. Panda Security fue el primer proveedor de plataforma de protección de endpoint (EPP) que ofreció un servicio de certificación al 100%, refrendando la legitimidad y seguridad de todas las aplicaciones en ejecución. “Estamos encantados de fusionarnos con WatchGuard debido a la nueva escala y el acceso al portafolio de productos que brinda a los clientes y socios de Panda Security”, aseguró Juan Santamaría Uriarte, CEO de Panda Security. “También nos entusiasma ver que nuestra cartera de productos se entregue a través de la red global de socios de WatchGuard. Juntos, esperamos construir una plataforma completa de seguridad que conecte la red y el perímetro del usuario”. La transacción está sujeta a las condiciones de cierre habituales, incluidas las aprobaciones regulatorias, y se espera que se cierre en el segundo trimestre de 2020.
50
ACTUALIDAD
51
ACTUALIDAD
Zoom pide perdón a sus usuarios Zoom, la aplicación de videoconferencia que se convirtió en una sensación de la noche a la mañana, ha tenido un par de semanas difíciles, en un momento en que muchas personas en todo el mundo están en casa debido al brote de coronavirus. Mientras la popularidad de Zoom se disparaba, surgieron una serie de problemas de privacidad y seguridad en varios aspectos del software, algunos de ellos bastante peligrosos. Ahora, Zoom está tomando las medidas para remediar esto. En una larga entrada del blog de la compañía, publicado el 1° de abril pasado (https://blog.zoom.us/wordpress/2020/04/01/a-message-toour-users/), el CEO de Zoom, Eric S. Yuan, se disculpó por los problemas y dijo que la compañía ahora dirigirá sus esfuerzos a solucionarlos. “Reconocemos que no hemos cumplido con las expectativas de privacidad y seguridad de la comunidad y las nuestras. Por eso, lo siento mucho”, escribió. En el post, Yuan explicó que el número máximo diario de usuarios de la aplicación pasó de 10 millones en
diciembre a 200 millones en marzo, lo que supuso una enorme presión para que la empresa ampliara el servicio, para dar cabida a los nuevos usuarios. Además, la base de usuarios de Zoom se amplió de clientes principalmente institucionales a un “conjunto mucho más amplio de usuarios”, lo que planteó a Zoom “desafíos” que la empresa “no anticipó cuando se concibió la plataforma”. Describe algunos de los pasos que la empresa ya ha dado para solucionar los crecientes problemas de seguridad y privacidad, entre ellos evitar que el cliente iOS de Zoom envíe datos a Facebook sin una buena razón, corregir un error que permitía a un atacante recuperar las credenciales de inicio de sesión de Windows de otros usuarios, aclarar la naturaleza de la encriptación en su plataforma y actualizar su política de privacidad. Quizás aún más importante, Zoom se ha comprometido a pasar los próxi-
52
mos 90 días trabajando proactivamente en los posibles problemas de seguridad. La compañía no lanzará ninguna nueva característica durante este período, en su lugar dirigirá todos sus esfuerzos a fortalecer la seguridad, y trabajará con expertos de terceros para identificar posibles problemas. Además, la empresa Zoom publicará un informe de transparencia, en el que se detallará “la información relacionada con las solicitudes de datos, registros o contenidos”. Los pasos que Zoom está dando son buenos y necesarios para recuperar la confianza de los clientes. Su software ganó popularidad porque funcionó mejor que la mayoría de los competidores, y es de esperar que los nuevos esfuerzos de la compañía también aceleren los aspectos de seguridad y privacidad de la misma. Fuente: Mashable (https://mashable. com/article/zoom-sorry/)
SECURITY OPERATION
53
SECURITY OPERATION
54